Glavni naslov PPT predstavitve

Download Report

Transcript Glavni naslov PPT predstavitve

Postfix in Apache v internetnih sistemih
Nove Ljubljanske banke
Darko Ilič, Nova Ljubljanska banka, d.d.
Srečko Podlogar, Nova Ljubljanska banka, d.d.
Uroš Slak, Astec, d.o.o.
IBLOC 2006
Postfix in Apache v internetnih sistemih NLB
1
Vsebina





Odprtokodne rešitve v NLB
Razlogi ZA vpeljavo odprtokodnih rešitev
Poštni relay strežnik - Postfix
Spletni strežnik - Apache
Izkušnje z odprtokodnimi rešitvami
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
2
Odrtokodne rešitve v NLB




Postfix (2002)
Apache (2002)
BIND (2002)
Squid





Logsentry
OpenSSH
Tripwire
Logrotate
TIS Firewall Toolkit
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
3
Sporočilni sistem in spletni strežnik
 Sporočilni sistem




> 4000 internih uporabnikov
cca. 2800 sporočil na uro
cca.110.000 sporočil na dan
cca. 36.000.000 sporočil na leto
 Spletni strežnik
 18.000.000 zadetkov na mesec
 350.000 sej na mesec
 100.000 unikatnih obiskovalcev
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
4
Cilji in vodila
 Cilji
 Poštni relay strežnik
 Spletni strežnik
 Vodila pri izbiri




Varnost
Performančne lastnosti
Enostavnost upravljanja
Prilagodljivost posebnim zahtevam
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
5
Razlogi ZA odprtokodne rešitve




Priznani rešitvi in velik tržni delež
Performančne lastnosti
Svetovno priznana varnost in stabilnost rešitve
Cena
 ASTEC partner z bogatimi izkušnjami in
referencami s področja odprtokodnih rešitev
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
6
Poštni relay strežnik
 Postfix
 Zahteve projekta
 Največja možna zaščita OS
 Največja možna zaščita postix in vseh ostalih
komponent programske opreme
 Ustrezna performančna zmogljivost
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
7
Postfix varnostna konfguracija










Omejitev posredovanja pošte
Odstranjevanje internih informacij
Pošiljanje sporočil le za lokalne domene
Omejitev maksimalnega števila prejemnikov
Preverjanje pravilnosti zapisa naslovov
Prepoved znanih “problematičnih” strežnikov
Prepoved “problematičnih” poštnih uporabnikov
Prepoved pošiljanja preko robotov za pošiljanje
Zahteva po pravilnem sledenju SMTP protokola
Oteževanje skeniranja konfiguracije
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
8
Prehod v produkcijo
 Odlični rezultati performančnih testov
 Brez težav pri konfiguraciji Postfix
 Težave pri prehodu v produkcijo
 vpliv Cisco Firewall Feature Set
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
9
Nastavitve FFS
“Aug 23 20:16:00 web postfix/smtpd[20550]: fatal: accept
connection: No buffer space available
Aug 23 20:16:01 web postfix/master[20469]: warning: process
smtpd pid 20550 exit status 1
Aug 23 20:16:01 web postfix/master[20469]: warning:
smtpd:bad command startup – throttling”

Vzrok
RST po SYN paketu, ki ga pošlje CISCO FFS
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
10
Popravek izvorne kode
sane_accept.c code:
56a57,59
> #idef HPUX11
>
ENOBUFS,
> #endif
int
{
sane_accept(int sock, struct sockaddr * sa, SOCKADDR_SIZE *len)
static int accept_ok_errors[] = {
EAGAIN,
….
ENOTCONN,
EWOULDBLOCK,
#idef HPUX11
ENOBUFS,
#endif
0,
};
static int accept_warn_errors[] = {
ECONNABORTED,
0,
};
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
11
Naknadne izboljšave in izkušnje z uporabo
 Avtomatična sprememba ciljnega strežnika za siol.net
domeno
 Poročila in poročanje o napakah pri pošiljanju
 Obveščanje ob brisanju prevelikih sporočilih
 Vklop antispam funkcionalnosti – SPAMCOP
 Zanesljivost
 Performančne zmogljivosti (več kot 20.000 sporočil v
vrsti, več kot 10.000 sporočil na uro)
 Enostavno skrbništvo – konfiguracija in vzdrževanje
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
12
Apache spletni strežnik
 Apache
 Zahteve projekta
 Največja možna zaščita OS
 Največja možna zaščita apache in vseh ostalih komponent
programske opreme
 Ustrezna performančna zmogljivost
 Varnostna konfiguracija




3. Oktober 2006
Apache Chroot
Chroot podatkovne baze
Natančna performančna in varnostna konfiguracija
Brez skriptnih jezikov
Postfix in Apache v internetnih sistemih NLB
13
Pridobljene izkušnje in izboljšave
 Ustrezno performančno načrtovanje
 Potrebno redno posodabljanje –> prehod na HP
apache distribucijo
 Zaradi portalske zgradbe in podatkovne baze
uporaba rewrite modula
 Veliko navideznih strežnikov (virtual hosts)
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
14
Načrtovane razširitve
 Poštni strežnik
 Visoko razpoložljiva konfiguracija
 Močnejša zaščita pred nezaželenimi sporočili
 Ločitev masovne pošte in osebne pošte
 Spletni strežnik
 Visoko razpoložljiva konfiguracija
 Vpeljava extranet omrežja (pridružene banke)
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
15
Vprašanje in Odgovori
Darko Ilič, Nova Ljubljanska banka, d.d.
Srečko Podlogar, Nova Ljubljanska banka, d.d.
Uroš Slak, Astec, d.o.o.
Nova Ljubljanska banka d.d., Ljubljana
Trg republike 2, 1520 Ljubljana
T: (01) 425 01 55
e-pošta: [email protected]
Postfix in Apache v internetnih sistemih NLB
16